由于长期实施的是“让我做、要求我做、我凑合做”的“被动合规”模式,很多中国企业的安全系统实际上变成各种安全设备的大拼盘大杂烩
文|《财经》研究员 周源
编辑|谢丽容
随着人工智能(AI)的高速发展,智能化安全威胁不断加码。在传统攻击手段的基础上,攻击者可利用AI放大攻击效果,使网络危险更具规模性、针对性和杀伤性。根据世界经济论坛《2025年全球网络安全展望》,66%的组织预计2025年AI会对网络安全产生重大影响。
奇安信集团董事长齐向东近期在公开场合表示,AI极大地激发了中国企业用户在安全建设上的主观能动性,“不再是网络安全公司让我做,不再是国家等保合规要求我做,更不是能省钱就省钱的凑合做”。
但是,由于长期实施的是“让我做、要求我做、我凑合做”的“被动合规”模式,很多中国企业的安全系统实际上是各种安全设备的大拼盘大杂烩。
根据奇安信数据,目前中国90%的大型机构在安全建设的时候会采购10家以上安全厂商的设备,这些装备往往数据格式互不统一,接口不兼容,采集能力参差不齐,导致企业安全系统缝隙丛生,中看不中用。
面对AI带来的重大机遇与挑战,齐向东高频提及“体系”一词,而非AI,他表示,体系化择优将替代单品择优,体系化设计将替代拼盘设计,重视网络安全体系建设,重塑体系才是突破当前产业矛盾的核心所在。
中国国家互联网信息办公室总工程师孙蔚敏的观点是,网络安全单点作战的时代结束了,除了企业要重塑内生安全,扫好自家门前雪,企业、厂商、运营商以及相关部门联手起来,以体系作战的思维方式,打造一个国家网络安全的联合防御体系。
安全建设为什么落了个“形聚神散”?
近年来,政企机构对安全重视程度越来越高,网络安全建设每年都有预算、有项目、有目标,为什么会形成安全设备“万家造”的大拼凑局面?
齐向东分析,因为政企机构的预算往往都是和新建项目绑定,而不是和安全目标进行绑定。由于项目中标方不同,安全设备也都是在不同时期采购不同厂家的,年复一年积累下来多个安全项目,就形成了安全项目“万家造”、大拼盘的分散现状。
国内某头部金融企业光防火墙就几十个型号,有外国的也有国内的,有单一的也有集成的,有硬件的也有软件的,还有云部署的。这些设备数据格式不统一,接口不兼容,采集能力参差不齐,安全营运中心接进来的海量数据像一团乱麻,彼此孤立,无法支持全域的感知,也就难以快速研判和响应。
更严峻的是,多年来近一半以上的安全项目被埋在IT总包里,建设质量无法得到保障。如果是一些技术实力弱、公司规模小、行业经验少的IT公司做总包,它们往往既没有安全产品又不会干安全建设的活,就会把安全项目再二次分包出去。
因此,尽管网络安全厂商每天都在高喊体系化,却是在“弱小少”总包商的指挥下,干着碎片化打补丁的活,无法对安全项目的整体效果负责,如此一来安全建设就陷入了“形聚神散”的境地,看似做了一体化的活,却拿不到一体化的结果。
另一个深层次的困难是,体系在不同场景中代表不同主体,层层嵌套,互相影响,不同体系之间的融合互通并没有那么容易。
在现实中,安全体系可从层级角度简单分成大体系和小体系,但大小是相对的,且在不同场景下有不同含义的。
例如,从国家治理的视角来看,主管部门统筹的安全顶层设计是大体系,各行各业领域的安全建设是差异化的小体系;从智慧城市的场景来看,覆盖城市全域的安全防护架构是大体系,而交通枢纽、能源电网等关键基础设施是安全的小体系;从企业集团的架构上看,总部主导的一体化建设是大体系,各地分支安全体系是小体系。
齐向东指出,从大体系视角来看,大都面临着安全能力无法整合,战略难以统一的挑战,其中最典型的表现就是缺乏上下统一协调,无法全局协同联动。
例如,某东部省份近年来积极推动省市区三级联动的安全管理平台,省级大体系建设非常顺利,但是各市区之间的信息化水平和安全水平参差不齐,大体系和小体系之间就有鸿沟。去年发生了一起网络攻击事件,攻击者成功渗透到了市级防护盲区,进行了东西横向移动,对省级大体系造成了严重的威胁。
而小体系层面常见的问题是,许多大型企业的分支机构虽然建设了网络安全小体系,但数据往往也是没有打通的,情报也不共享,导致建设时虽然投了不少资源,但是能力依旧是无法联动,面对大体系传达的指令,小体系有的时候“听不懂”,有的即使“听懂”了也没有能力动起来。
例如,某一个化工龙头企业,曾经希望对集团数字化系统进行一次全面的体检,结果多地子公司发现上级单位要求使用的扫描工具和单位的系统不兼容,安全指令和安全能力在小体系的地方探不下去。
又例如,某家大型金融机构各分支机构都建立了独立的安全小体系,其中一些分支机构会自己更新防护策略,但是不主动共享情报,小体系之间安全能力的差距被拉大,导致系统性安全体系建和不建都一样,久而久之严重制约了产业的发展。
推进体系化建设的三重障碍
一些企业事业机构正在试图改变“形聚神散”的网络安全系统,但在推动体系化落地的时候遇到了不少难题,三大难题较为常见。
其一是数据孤岛。由于没有体系或者体系割裂的历史原因,企业内部数据孤岛林立,而数据孤岛进一步阻碍了体系化网络安全系统的落地。
齐向东的观点是,除了“万家造”,客户业务和安全两张皮,也是导致数据孤岛形成的重要原因。
“两张皮”模式下,业务与安全部门各自收集处理数据,就形成了一个一个的数据孤岛,少有交集。
其二是投入不足。零事故的背后除了技术因素,不计成本的资源投入。根据国际数据公司IDC发布的2025 V1版《全球安全支出指南》,2023年全球网络安全IT总投资规模为2150亿美元,并有望在2028年增至3770亿美元,五年复合增长率(CAGR)为11.9%。中国网络安全市场规模从2023年的110亿美元增长至2028年的171亿美元,五年复合增长率为9.2%。该报告还指出,2025年美国与西欧仍将占全球安全支出的70%以上。
其三是新旧系统兼容难度大。中国企业信息化建设多年,不少企业的网络安全架构当中混杂着不同时期、不同厂商的安全产品和技术,虽然在一定程度上确保了不出重大的安全事故,但各个子系统之间往往没有能及时整合。
把旧系统推倒重来几乎是不可能的。新系统如何整合现有的设备和子系统,谁来负责新系统的整体设计和落地,确保各个厂商兼容并对实战效果承担责任呢?这些都是现实考验。
不可能推倒重来,如何破局?
不可能推倒重来,也不能容忍割裂和僵化的安全系统,如何才能在现有基础上建设适应AI时代的体系化网络安全。
如何以最小的变动打通现有安全建设的“任督二脉”?齐向东认为,企业应设立安全体系总设计师。
安全体系总设计师的核心使命是把万家造的设备、平台、能力、中心统一纳管,将不同厂商分散的安全力量拧成一股绳,最终构建起客户所急需的,真正有效的、纵深防御的统一安全体系。
数据和运营则是两个关键抓手。
过去,数据采集量有限,安全数据够用就可以,但随着AI和其他各种数字化技术的发展,企业安全数据必须满足三个原则:覆盖足够广(指数据的维度),采集足够深(数据的颗粒度足够细),数据关联足够完整。
安全运营方面,安全厂商须在海量、多元、多维的数据中精准挖掘出情报信息,进行准确灵敏的告警,并及时响应和处置安全告警,再根据运营经验,动态和持续改进安全产品,以实现更加高效的运营。
从数据和运营两个环节看,AI是不折不扣的双刃剑。黑客等不法分子利用AI加大恶意攻击,但对安全厂商和企业而言,同样也有非常多的种场景可利用AI显著增强网络安全防护能力。
齐向东呼吁软件行业不要无底线内卷,因为软件研发周期非常长,无底线的卷价格,只会让“软件行业创新变得肤浅、让创新变得没有深度、没有高度”。
他同时指出,制止软件行业内卷除了行业自律,更主要的因素是在买方。
“(认为)软件不值钱、不愿意买软件,是许多中国政企机构常年养成的习惯。”齐向东说。他呼吁有关部门应该高度重视改善软件产业的营商环境,尽早改变政企采购的规则和习惯。
责编 | 要琢
